信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。现在，ISO27000:2005标准已得到了很多国家的认可，是国际上具有代表性的信息安全管理体系标准。 2000年，国际标准化组织（ISO）在BS7799-1的基础上制定通过了ISO 17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO 17799再次修订，BS7799-2也于2005年被采用为ISO27001:2005。

SO/IEC27001:2013标准包括11大控制方面、39个控制目标和133项控制措施，为企业提供全方位的信息安全保障。

ISO27001信息安全管理体系方法

随着互联时代的飞速发展，越来越多的企业开始思考如何能保证信息的安全，那么信息安全管理体系就可以协调各个方面信息管理，从而使解决信息的保密性、可用性、完整性；保证信息的安全不是仅有一个防火墙就可以解决的，它需要全面的防御体系管理--ISO27001:2013信息安全管理体系，它既不仅是一个工具，也是一种管理方法。

通过推行ISO27001信息安全管理体系认证，可以增进公司业务往来的信用度，能够建立起供应商与客户之间的互相信任，通过信息安全管理的可以看到信息安全管理明显的利益，如：资产识别，重要资产的管控方法，信息安全防御策略等，为IT业、制造业、服务业、金融业等行业提供一个有效的保证，通过业务连续的管理，把组织的干扰因素降到最小，为客户交期与服务提供强有力的保障，双方创造更大收益，那么如何建立-ISO27001:2013信息安全管理体系，从以下几个方面着手进行：

1.安全方针：制定信息安全方针，为信息安全提供管理指导和支持，并定期评审；

信息安全组织：建立信息安全基础设施，管理组织范围内的信息安全；维护被第三方所访问的组织的信息处理设施和信息资产的安全，以及当信息处理外包给其他组织时，确保信息的安全。

2.资产管理：核查所有信息资产，做好信息分类，确保信息资产受到适当程度的保护。

3.人力资源安全：确保所有员工、合同方和第三方了解信息安全威胁和相关事宜，他们的责任、义务，以减少人为差错、盗窃、欺诈或误用设施的风险。

4.物理与环境安全：定义安全区域，防止对办公场所和信息的未授权访问、破坏和干扰；保护设备的安全，防止信息资产的丢失、损坏或被盗，以及对业务活动的干扰；同时，还要做好一般控制，防止信息和信息处理设施的损坏或被盗。